Experten fordern Ächtung von PHP SuperGlobals

Die steigende Zahl der Botnetze, die auf der Grundlage von PHP-Websites aufgebaut werden, zeigt anschaulich, wie einfach es ist, eine PHP-Anwendung zu hacken. Es ist durchaus möglich, dass der Hauptschuldige an allem Elend im РНР-Königreich eine Sammlung von neun Variablen ist, die so genannten SuperGlobals. Sie gewährleistet den Entwicklern eine große Flexibilität, bringen allerdings auch gefährliche Sicherheitslücken mit sich. Werden diese Schwachstellen ausgenutzt, eröffnet das Hackern die Möglichkeit, die SuperGlobals entfernt auszutauschen und willkürlichen Code auszuführen, eine Datei einzuschleusen oder die Signatur-basierten Systeme zur Erkennung von unautorisiertem Eindringen zu umgehen.

In seinem neuen Bericht, in dem das mit den PHP SuperGlobals in Verbindung stehende Problem behandelt wird, ruft Imperva dazu auf, die Anfragen mit den entsprechenden Parametern zu blockieren. Die Sicherheitslücken in SuperGlobals können ausgenutzt werden, um die Logik der Anwendung zu zerstören und die Server zu hacken, auf denen unzuverlässiger Code platziert ist. Die Folgen können äußerst unerquicklich sein – von betrügerischen Transaktionen bis zum Verlust wichtiger Daten.

Die von Imperva durchgeführt Untersuchung hat gezeigt, dass PHP-Code in der einen oder anderen Form auf 81% aller Websites vorhanden ist. Zum Vergleich: ASP.NET wurde auf 19% der Websites, Java auf nur 3% gefunden. Die Experten sind daher davon überzeugt, dass PHP SuperGlobals eine ernsthafte Bedrohung darstellen, zumal sie einem Außenstehenden die Möglichkeit eröffnen, die internen Variablen von einer äußeren Quelle umzuschreiben.

Die Ermittler haben ein Monitoring zweier konkreter Sicherheitslücken durchgeführt, und zwar: CVE-2011-2505 und CVE-2010-3065. Die erste hängt mit einem Authentifizierungsfehler in der populären Anwendung PhpMyAdmin (PMA) zusammen und ermöglicht es Hackern, die superglobale Variable _SESSION zu verändern. CVE-2010-3065 eröffnet die Möglichkeit, willkürliche Zeilen in eine serialisierte Sitzung einzuschleusen. Imperva weist darauf hin, dass ein Exploit für beide Sicherheitslücken Hackern gleichzeitig ermöglicht, beliebigen Code auf einem Server mit PMA durchzuführen.

Im Mai führten die Spezialisten ein Monitoring von Attacken auf PHP-Anwendungen durch, wobei Daten von Fallen und Kunden-Websites gesammelt wurden. Innerhalb dieses Zeitraums wurden mehr als 3.000 Anfragen registriert, die auf den Austausch der SuperGlobals abzielten; auf sie entfiel ein Anteil von 55% an allen beobachteten Attacken. Die bösartigen Anfragen kamen von 27 IP-Adressen, wobei die Cyberkriminellen versuchten, den Ausführungsprozess von 24 Webanwendungen zu behindern. In der Spitze betrug die Zahl der Anfragen an das angegriffene Programm 90 pro Minute.

Nach Angaben der Experten sind die Schwachstellen im Mechanismus der PHP SuperGlobals der Sicherheits-Community durchaus bekannt, und beliebte Scanner, wie etwa Nessus und Nikto sind in der Lage sie aufzuspüren. Trotzdem bringen die Programmierer weiterhin diese gefährlichen Fehler in ihre PHP-Entwicklungen ein, während die Angriffe auf die Web-Anwendungen von überaus langer Dauer sein können. Imperva beobachtete eine dieser Hacker-Aktionen über einen Zeitraum von fünf Monaten. Die Attacke wurde von IP-Adressen aus geführt, die in sechs Ländern angemeldet sind; sie richtete sich gegen Websites von Vertretern kritisch wichtiger Branchen, inklusive Finanzsektor. Das von den Angreifern verwendete Exploit wurde in einem russischen Online-Forum entdeckt, das in Hacker-Kreisen recht populär ist. „Interessant ist, dass einige IP‑Adressen dabei gleich 2-3 Anwendungen angriffen.“, heißt es in dem Imperva-Bericht. Es ist durchaus möglich, dass die Anfragen mit Hilfe eines Tools generalisiert wurden, da sie alle über charakteristische Merkmale verfügen, wie etwa die identische und selten anzutreffende Zeile User-Agent.“

Solche Angriffe zeigen eindrucksvoll, wie wichtig es ist, die in PHP programmierte Software auf dem aktuellen Stand zu halten, insbesondere Web-Anwendungen von Drittentwicklern. „Die Angreifer können ein Szenario einer kombinierten Attacke in einem einzelnen Skript entwerfen, das für jeden Botmaster komfortabel wäre.“, warnen die Experten. „Dieses Skript könnte dann automatisch auf die kompromittierten Server verteilt werden und seine autonome Ausführung zum Abfangen der Kontrolle über neue Server wäre gewährleistet.“

Quelle: threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.